Windows LiveWindows Live
 
 
Adriano's profileAdriano ClareteBlogLists Tools Help

Blog
    April 06

    Preparar Domínio 2000 com Exchange 2000 para receber DC´s 2003 ou 2008

    Cenário: Domínio e Floresta Windows Server 2000 com Exchange Server 2000 instalado.
     
    Necessidade: Instalação de Domain Controllers Windows Server 2003 ou 2008.
     
    Problema: Quando o comando adprep /forestprep do Windows Server 2003 ou 2008 adiciona seus atributos InetOrgPerson em uma floresta do Windows 2000 que contém o esquema do Exchange 2000, suas definições dos atributos Secretary, houseIdentifier e labeledURI conflitam com as definições do Exchange 2000 desses atributos. No controlador de domínio que recebe as atualizações de esquema do Windows Server 2003 ou 2008, os atributos LdapDisplayName para as definições do Exchange 2000 desses atributos são modificados para evitar um conflito.
     
    Procedimento:
     
    Alterações de esquema do Exchange 2000 serão instaladas antes do comando adprep /forestprep do Windows Server 2003 ou 2008
    Se as alterações de esquema do Exchange 2000 já tiverem sido instaladas, mas você não tiver executado o comando adprep /forestprep Windows Server 2003 ou 2008, considere o seguinte plano de ação:
    1. Faça o logon no console do mestre de operações de esquema usando uma conta membro dos grupos de Administradores de empresas e dos Administradores de esquema.
    2. Ative Atualizações de esquema no mestre de esquema. Para obter mais informações sobre como permitir atualizações no esquema do Active Directory, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
      285172  (http://support.microsoft.com/kb/285172/ ) Atualizações de esquema requerem acesso de gravação no esquema no Active Directory
    3. Os atributos houseIdentifier, secretary e labeledURI desconfigurados possuem atributos LDAPDisplayName semelhantes ao seguinte formato:
      lDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d ou pode aparecer somente labeledURI
      lDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f ou pode aparecer somente secretary
      lDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef ou pode aparecer somente houseidentifier
    Se os atributos LDAPDisplayName para LabeledURI, Secretary e HouseIdentifier foram desconfigurados, execute o script Inetorgpersonfix.ldf do Windows Server 2003 para recuperá-los:
    1. Crie uma pasta nomeada%systemroot%\iop.
    2. No prompt de comando, digite cd%systemroot%\iop e pressione ENTER.
    3. Extraia o arquivo Inetogpersonfix.ldf do arquivo Support.cab localizado na pasta Suporte\Ferramentas da mídia de instalação do Windows Server 2003.
    4. A partir do console do mestre de operações do esquema, carregue o arquivo Inetorgpersonfix.ldf usando Ldifde.exe para corrigir o atributo LdapDisplayName dos atributos houseIdentifier, secretary e labeledURI. Para fazer isso, digite o seguinte comando, onde:dn path para domínio raiz da floresta é o caminho do nome de domínio para o domínio raiz da floresta entre aspas:
      ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "dn path para domínio raiz da floresta"
      Observação Nesse comando, X é uma constante que diferencia maiúsculas de minúsculas. Insira aqui exatamente como está sendo exibido.
    1. Verifique se agora os valores de LDAPDisplaynames para os atributos CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI e CN=ms-Exch-House-Identifier no contexto de nomeação de esquema aparece como msExchAssistantName, msExchLabeledURI e msExchHouseIdentifier antes de executar o comando adprep /forestprep do Windows Server 2003.

      Para verificar se os valores de LDAPDisplayName estão corretos, é possível utilizar o ADSI Edit. Para fazer isto, execute as seguintes etapas:

      Aviso Se usar o snap-in ADSI Edit, o utilitário LDP ou qualquer outro cliente de LDAP versão 3 e modificar incorretamente os atributos dos objetos do Active Directory, problemas sérios poderão ocorrer. Esses problemas podem exigir a reinstalação do Microsoft Windows 2000 Server, do Microsoft Windows Server 2003, do Microsoft Exchange 2000 Server, do Microsoft Exchange Server 2003 do Windows ou do Exchange. A Microsoft não garante que os problemas decorrentes da modificação incorreta dos atributos do objeto do Active Directory possam ser resolvidos. A modificação desses atributos é de sua responsabilidade.
      1. Clique em Iniciar, aponte para Programas, Ferramentas de suporte do Windows 2000 e clique em ADSI Edit.
      2. Expanda Esquema [Seu domínio].
      3. Expanda Cn=Esquema, CN=Configuração, CN=seus nomes internos.
      4. No painel à direita, localize um atributo para verificação.
      5. Clique com o botão direito do mouse no atributo e clique em Propriedades.
      6. Na lista Select which properties to view , clique em Both.
      7. Na lista Selecione uma propriedade para exibição, clique em LDAPDisplayName.
      8. Certifique-se de que o valor de LDAPDisplayName está correto.
      9. Repita as etapas até h para cada atributo que deseja verificar.
    2. Execute o comando adprep /forestprep e o comando adprep /domainprep.
    5:21 PM | Add a comment | Permalink | Blog it | Active Directory
    April 03

    Consolidação de Domínios 2003 com Exchange Server 2007 pt3

    3. PROCEDIMENTOS PARA DOMÍNIO ANTIGO
       3.1. Configurar o Atual domínio para permitir acesso de RPC a SAM.
            Necessário inserir a chave de registro no domain controller master do atual domínio.
            HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
            DWORD - TcpipClientSupport = 1
            OBS.: Após realizar está configuração reinicializar domain controller.
       3.2. Instalação do Password Migration DLL no servidor Password Export.
            Este procedimento deve ser realizado no domain controller master do atual domínio.
            Executar o PWDMIG.MSI que se encontra na pasta de instalação do ADMT do servidor novo domínio
            Entrar com o certificado criado no passo 2.6
            Finalizar a instalação
            O sistema irá perguntar sobre a reinicialização, selecione No, pois ainda será necessário configurar uma chave de registro no próximo passo.
       3.3. Configurar chave de registro Password Export Server
            Será necessário registrar a chave de registro para permitir a exportação de password do atual domínio para o novo domínio.
           
            Localize HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
            Selecione AllowPasswordExport = 1
           
            Reinicializar o domain controller
    3:22 PM | Add a comment | Permalink | Blog it | Active Directory

    Consolidação de Domínios 2003 com Exchange Server 2007 pt2

    2. PROCEDIMENTOS PARA DOMÍNIO NOVO
       2.1. NATIVE MODE
            A utilização do SIDHistory durante a migração com ADMT, por tal motivo o novo domínio necessita estar em modo Nativo.
       2.2. VERIFICAR GRUPO EVERYONE
            O Grupo Everyone necessita ser inserido no grupo Pre-Windows 2000 Compatible Access group.
       2.3. CRIAÇÃO DE ESTRUTURA DE OU´s PARA MIGRAÇÃO
            Para facilitar a migração se recomenda a criação de uma organization unit para armazenar as contas migradas.
       2.4. MODIFICAR DEFAULT DOMAUN POLICY NO NOVO DOMÍNIO
            Para manter compatibilidade com sistemas operacionais antigos
            Abrir Domain Security Policy (Start, All Programs, Administrative Tools, Domain Security Policy).
            Navegar Security Settings\Local Policies\Security Options.
            Selecionar Network Access: Let Everyone Permissions Apply to Anonymous Users.
            Ativar Define This Policy Setting e selecionar Enabled, Click OK e finalizar.
            OBS.: Repetir este procedimento Domain Controller Security Policy.
       2.5. Instalação de ADMT
       2.6. Exporting Password Key Information
            A 128-bit encrypted password key necessita ser instalado no Domain Controller do novo domínio. Esta chave tem como objetivo possibilitar
            a migração do Password e SID History, de um domínio para outro.
            Sintax de comando a ser realizado no Novo domínio:
            Pasta de instalação do ADMT/Admt Key /option:create /sourcedomain:<Dominio Antigo NetBios>  /Keyfile:<Nome do Arquivo>
       2.7. CRIAÇÃO DE UM GRUPO LOCAL %SOURCEDOMAIN%$$$ NO DOMÍNIO ATUAL
            Para o perfeito funcionamento do ADMT é necessário criar um novo grupo local no domínio atual, este grupo será denominado Netbios
            sourcedomain.
            Exemplo : Para domínio TELEPERFORMANCE o grupo será TELEPERFORMANCE$$$.
    3:16 PM | Add a comment | Permalink | Blog it | Active Directory

    Consolidação de Domínios 2003 com Exchange Server 2007 pt1

    INSTALAÇÃO EXCHANGE 2007
    1. PROCEDIMENTOS PARA INSTALAÇÃO
       1.1. PRÉ-REQUISITOS
            Network COM+, IIS, World Wide Web
       1.2. SETUP.COM
            Se estiver rodando no ambiente Exchange 2000 or 2003 rodar o comando:
            Setup.com /PrepareLegacyExchangePermissions
            O comando seguinte irá preparar o schema, a conta que irá rodar esse comando precisa ser membro do grupo Schema Admins. 
            Setup.com /PrepareSchema
            O terceiro comando prepara o domínio, adiciona o grupo Exchange Universal Security e configura Exchange objects com AD.
            Setup.com /PrepareAD /OrganizationName:<nome da organização>
       1.3. CONFIGURAÇÃO DE TRUST
            Para a migração de usuários será necessário o compartilhamento de credenciais entre os domínios, por tal motivo será necessário
            à configuração de trust entre o domínio atual e o novo domínio.
       1.4. ATRIBUIÇÃO DE PERMISSIONAMENTO ENTRE DOMÍNIOS
            Para a realização com sucesso da migração será necessário o correto permissionamento como descrito abaixo:
            - Adicionar administrator do domínio antigo no grupo administrator do novo domínio.
            - Adicionar administrator do domínio novo no grupo administrator do novo antigo
       1.5. DESATIVAÇÃO DE SID FILTERING NOS TRUSTS
            Para possibilitar a transferência dos atuais SIDs para o novo domínio será necessária a realização da desativação do SID Filtering
            nos dois domínios:
            Comando:  Netdom TRUST <netbios new domain Name> /domain:<fqdn old domain Name> /quarantine:No /usero:<admin account of trusting domain>
                      /passwordo:<password of admin account>
            Comando:  Netdom TRUST <netbios old domain Name> /domain:<fqdn new domain Name> /quarantine:No /usero:<admin account of trusting domain>
                      /passwordo:<password of admin account>
       1.6. VERIFICAR POLÍTICAS DE SEGURANÇA
            Para a migração dos password para o novo domínio as políticas de segurança devem ser iguais nos dois domínios com exemplo abaixo:
            Enforce Password history:     xx pass
            Maximum password age:      xx days
            Minimum password age:       xx days
            Minimum password length:    xx character
            Password must meet:             Enabled/Disabled
            Store password using:           Enabled/Disabled
    3:14 PM | Add a comment | Permalink | Blog it | Active Directory